Faille Prestashop 1.4.6.2

[diabolyo]

Bonjour,

C'est avec stupeur que je me suis rendu compte ce matin que l'on s'était amusé cette nuit à se ballader dans mon BO en utilisant mon ID. Je m'en suis rendu compte car les statuts de certaines commandes avaient été changé en "expédiées" ce qui n'était pas le cas.

Le but de cette manoeuvre était de changer mon email paypal et de mettre celui du hacker. Résutat les commandes passées par mes clients cette nuit et qui ont payé par paypal sont arrivées directement sur le compte du hacker.

le statut de ces commandes dans mon BO était "Paiement Paypal en attente", ce qui m'a mis la puce à l'oreille.

C'est maintenant le parcours du combattant pour que les clients soient remboursés, car je ne peux rien faire vu que mon compte n'a pas été crédité. Ils sont obligés d'ouvrir un litige et de porter plainte contre le mail fantôme, ils seront remboursées mais en attendant ce sont des clients définitivement perdus.

J'ai vu avec mon webmaster, aucune intrusion n'a été signalée.

Et c'est en cherchant sur le web que je tombe sur ça :

http://www.prestashop.com/forums/topic/210540-fraud-alert/

même situation, même hacker (le mail est identique).

Et le mail date de plusieurs semaines… cela veut dire que Paypal est au courant et que cet utilisateur est toujours actif ! malgré les plaintes ! merci Paypal de cette réactivité.

en attendant de comprendre comment cet Hacker a fait pour rentrer dans mon BO, j'ai déposé une plainte au commissariat. Si vous avez des pistes ou d'autres témoignages, ils sont les bienvenus… et des méthodes pour que cela ne reproduise pas (alertes connection ou je ne sais quoi), n'hésitez pas !

Merci d'avance

 

Lionel

[coeos.pro]

Vérifie quand même qu'il ne s'est pas crée un compte admin, sinon il peux revenir quand il veux...

Sinon les conseils que je peux te donner :

- passe ton ordi (et celui de ton webmaster) à l'antivirus

- change les mots de passe à ton back office (idem pour les autres admins)

- change les mots de passe ftp

- vérifie que les modules non natifs de prestashop ont été obtenu sur des sites non douteux

[J. Danse]

Bonjour,

 

Je serais prêt à vous aider et à trouver la faille, notamment au niveau, éventuellement, des modules tiers installés. Malheureusement, pour cela, il me faudrait un accès FTP (voir Back Office, éventuellement). Je pense que ce genre de situation doit être prise au sérieux et si on peut écarter les pistes les plus éventuelles, on pourra recentrer nos efforts sur d'autres pistes.

 

Pensez-vous que vous aurez assez confiance pour me laisser investiguer au sein de votre propre boutique ?

 

N.B.: Quoiqu'il en soit, ne publier rien sur le sujet, pas d'identifiant ni de mot de passe !

[coeos.pro]

Rien ne prouve pour l'instant que ça provienne d'un module, ça peut très bien provenir d'un virus qui récupère les logins du BO ou de Filezilla, voir d'une personne indélicate qui aurait diffusé sur Facebook les identifiants du BO (déjà vu sur ce forum !!! oO ) sans compter que le hacker a très bien pu mettre un fichier php (via FTP ou un module qu'il aurait ensuite effacé qui lui créer un compte admin dès que ce fichier est activé...

 

Diabolyo : as tu l'ip du malfaiteur ? tu peux déjà l'exclure via le htaccess

[jeckyl]

Bonjour,

 

ce genre de pratique est typique d'utilisateur ayant Filezilla comme le précise coes.pro.

 

Vous n'êtes pas le premier et pas le dernier malheureusement.

 

un conseil effacez complétement l'ensemble de votre ordinateur et prenez un autre client FTP.

[diabolyo]

Merci pour toutes vos réponses, mon webmaster a fait le ménage il a trouvé des scripts qui n'avaient rien à faire là.

je vous tiens au courant des avancements. Pour info, je suis sur mac, je n'ai pas Filezilla.

[jeckyl]

Merci pour toutes vos réponses, mon webmaster a fait le ménage il a trouvé des scripts qui n'avaient rien à faire là.

je vous tiens au courant des avancements. Pour info, je suis sur mac, je n'ai pas Filezilla.

 

et votre webmaster ?